5 Ramverk för spårbarhet

Förslag på ramverk som tagits fram under analysfasen är skrivit utifrån en konceptuell nivå där, i största utsträckning, inte går in på detaljnivå och styrning, utan på en högre nivå.

I nästa steg bör en POC (proof of concept) genomföras där en loggtjänst utvecklas i egen miljö för att hantera och skapa loggar till externa system. Loggtjänsten fungerar som så att externa system kommunicerar med loggtjänsten via API där loggtjänsten sedan skapar loggar enligt en definierad standard. I och med att loggtjänsten skapar dessa loggar på samma sätt, oavsett system, så blir det enklare och mer strukturerat hur loggar skapas och sedermera enklare att spåra information och händelser.

Gällande dokumentation har förslag till vad som bör dokumenteras kring loggning och spårbarhet beskrivits, vilket i grunden är varför loggar vi, vad loggar vi och när sker loggning.

Juridisk så är det tydligt att det inte går att ge konkreta råd i ramverket utan att varje implementering och utvecklingsprojekt måste genomföra en juridisk analys.

Informationsklassing måste genomföras i och med att loggar kan innehålla allt från generisk information från system till känslig information så som personuppgifter. I detta hänseende refererar ramverket till MSBs informationsklassnings arbete.

Att ha en gemensam nomenklatur inom Ena är viktigt för att inte riskera att myndigheter och privata aktörer ”tror” sig veta vad som menas med begrepp utifrån ”sin” verksamhet när myndighetsgemensamma IT-tjänster etableras. Med anledning av det ska ramverket innefatta en begreppslista för att skapa/fastställa och sprida gemensamma definitioner för relevant nomenklatur kopplat till spårbarhet.

Förslag på ramverk hanteras i ett separat dokument.

5.1 Generella rekommendationer

  • Inför etableringen av nya e-tjänster måste man genomföra riskanalyser och DPIA. Resultatet av dessa frågeformulär kan då ligga som grund till vad som ska auditloggas samt huruvida request payloaden får loggas eller inte, vilken gallringstid man ska sätta på loggarna osv.
  • Skapa en tydligt onboarding process för loggning till central loggserver inom offentlig sektor. Vilka roller ska finnas och vilka index (loggar) ska dessa roller kunna nå. Det skulle underlätta att få in behörighetsbeställningar i ett IDM/IAM system, samt att ansluta loggmiljön till myndighets ADt. Då borde man kunna automatisera provisionering av användare.
  • Alltid bra att följa internationella standarder och ramverk. ISO27001 standard är bra som baslinje för loggning och för att säkra IT-infrastruktur genom att se till att grundläggande krav uppfylls. Då får man mycket på köpet och tvingas sätta upp loggning och informationsklassa innehåll. Komplettera där det behövs. Övriga standarder och ramverk som är värda att nämna i sammanhanget är NIST (Zero trust) och COBIT.
  • Maskera lösenord och access tokens som skickas mellan klient och webserver så det inte kommer med i applikationsloggarna.
  • Se till att loggens ursprungstidsstämpel används och inte tidsstämpeln då den kom in loggsystemet.
  • Webapplikationer som använder GET request skickar ofta personuppgifter i klartext. Det gör att känslig information hamnar i browsern och i webserverloggar.
  • Skapa rekommendationer (om det inte redan finns) på att alltid skapa APIer med POST request för att hämta data.

Senast uppdaterad: